Verfahren zur Datenverschleierung Was ist Data-Masking / Datenmaskierung?

Anbieter zum Thema

FAST LTA GmbH

Impossible Cloud GmbH

Data-Masking ist ein Verfahren zur Verfremdung von Daten. Daten werden so verändert, dass eine Identifikation der Ursprungsdaten nicht mehr möglich ist. Die verfremdeten Daten lassen sich weiterhin für bestimmte Datenverarbeitungsvorgänge nutzen, sensible Datenbestandteile bleiben aber geschützt.

Die deutsche Übersetzung des englischen Fachbegriffs data masking lautet Datenmaskierung. Es handelt sich um ein Verfahren zur Verfremdung von Daten. Neben der Datenverschlüsselung und Datentokenisierung zählt es zu den typischen und häufig genannten Verfahren zur Datenverschleierung.

Data-Masking schützt sensible, vertrauliche oder personenbezogene beziehungsweise personenbeziehbare Daten vor unbefugtem Auslesen oder vor unerwünschter Offenlegung. Die Datenmaskierung ist somit auch eine mögliche Maßnahme des Datenschutzes. Sie ist aber nicht auf den Schutz personenbezogener Daten beschränkt. Datenmaskierungsverfahren lassen sich für die Verfremdung aller Arten von Daten nutzen.

Data-Masking ersetzt die Originaldaten durch ähnliche, zufällig erzeugte oder fiktive Daten. Datenformate und bestimmte Zusammenhänge und Informationsstrukturen bleiben trotz Maskierung einzelner Datenfelder erhalten. Datensätze mit maskierten Inhalten sind daher für bestimmte Datenverarbeitungsvorgänge weiterhin nutzbar. Die unmaskierten Ursprungsdaten lassen sich aber ohne Zugriff auf die Originaldaten nicht wiederherstellen oder identifizieren. Gestohlene oder abgefangene maskierte Daten sind für Angreifer mehr oder weniger nutzlos, da sich der Vorgang der Datenmaskierung für sie nicht umkehren lässt und keine 1:1-Abbildung zwischen den Originaldaten und den verfremdeten Daten möglich ist.

Typische Anwendungsbereiche der Datenmaskierung sind das Verhindern von Datenmissbrauch und Datendiebstahl, Schutz von geistigem Eigentum, Weitergabe und externe Zusammenarbeit mit Dritten, Minimierung der Auswirkungen von Datenpannen, Verwendung von Daten für analytische Zwecke ohne Preisgabe sensibler Informationen, Training von Systemen oder Modellen der Künstlichen Intelligenz und anderes.

Abgrenzung zur Verschlüsselung und Tokenisierung

Datenmaskierung lässt sich von den weiteren Datenverschleierungsverfahren Tokenisierung und Verschlüsselung folgendermaßen abgrenzen:

Bei der Datenverschlüsselung werden die Ursprungsdaten mithilfe mathematischer Verschlüsselungsalgorithmen und digitaler Schlüssel „verschleiert“. Die verschlüsselten Daten sind nicht mehr lesbar und lassen sich ohne Kenntnis des eingesetzten Verschlüsselungsverfahrens und ohne Zugriff auf die benötigten Schlüssel nicht wiederherstellen. Grundsätzlich ist der Vorgang der Datenverschlüsselung aber umkehrbar.

Die Tokenisierung ersetzt die zu verfremdenden Daten mit bedeutungslosen Daten (Token), die beispielsweise über ein Zufallsverfahren erzeugt wurden. Die Zuordnungsinformationen der Token zu den Ursprungsdaten werden in einer externen Datensammlung gespeichert und gegen unbefugten Zugriff geschützt. Mithilfe dieser extern abgelegten Zuordnungsinformationen ist der Vorgang der Tokenisierung für Befugte umkehrbar, und die Ursprungsdaten lassen sich beispielsweise nach einem Datenverarbeitungsvorgang wiederherstellen. Für Unbefugte besteht diese Möglichkeit nicht.

Im Zusammenhang mit dem Datenschutz fallen häufig auch die Begriffe Datenanonymisierung und Datenpseudonymisierung. Auch diese Verfahren nutzen Techniken wie Verschlüsselung, Maskierung und Tokenisierung zur Verschleierung von Daten. Sie zielen aber auf den Schutz personenbezogener oder personenbeziehbarer Daten ab.

Für das Data-Masking angewandte Verfahren und Techniken

Für das Data-Masking können unterschiedliche Verfahren und Techniken zum Einsatz kommen. Dazu zählen:

• das Ersetzen mit ähnlich aussehenden Zufallsdaten gleicher Struktur,

• das Ersetzen mit einem Nullwert,

• das Ersetzen mehrerer Stellen eines Datenfelds mit einem einzigen Zeichen,

• das Vertauschen der Reihenfolge einzelner Zeichen oder Zahlen,

• das Ersetzen mit Durchschnittswerten.

Der Vorgang der Datenmaskierung findet dynamisch oder statisch statt. Die statische Maskierung verfremdet die sensiblen Daten vor der Speicherung oder Weitergabe der Daten. Die Daten liegen für Dritte nur in der maskierten Form vor. Bei der dynamischen Maskierung findet die Maskierung erst beim Zugriff auf sensible Daten oder bei der Abfrage sensibler Daten statt. Die Daten liegen grundsätzlich unmaskiert vor und werden bei Zugriff oder Abfrage in Echtzeit verfremdet. Dabei lassen sich Rollen- und Berechtigungskonzepte berücksichtigen, nach denen Nutzer oder Anwendungen je nach Benutzerrolle oder Zugriffsrecht maskierte oder unmaskierte Daten ausgespielt bekommen.

(ID:50115373)